Introduction
Microsoft a été informé d'une vulnérabilité du gestionnaire de démarrage de Windows qui permet à un pirate de contourner le système Secure Boot. Le problème dans le gestionnaire de démarrage a été corrigé et publié sous la forme d'une mise à jour de sécurité. La vulnérabilité restante est qu'un attaquant disposant de privilèges administratifs ou d'un accès physique à l'appareil peut ramener le gestionnaire de démarrage à une version ne comportant pas le correctif de sécurité. Cette vulnérabilité est utilisée par le logiciel malveillant BlackLotus pour contourner le système de démarrage sécurisé décrit par la CVE-2023-24932. Pour résoudre ce problème, nous allons révoquer les gestionnaires de démarrage vulnérables.
En raison du grand nombre de gestionnaires de démarrage qui doivent être bloqués, nous utilisons une méthode alternative pour bloquer les gestionnaires de démarrage. Cela affecte les systèmes d'exploitation non Windows en ce sens qu'un correctif devra être fourni sur ces systèmes pour empêcher les gestionnaires de démarrage Windows d'être utilisés comme vecteur d'attaque sur les systèmes d'exploitation non Windows.
Informations supplémentaires
Une méthode permettant d'empêcher le chargement par le microprogramme de binaires d'applications EFI vulnérables consiste à ajouter les hachages des applications vulnérables à la liste des interdictions de l' UEFI (DBX). La liste DBX est stockée dans la mémoire flash gérée par le micrologiciel de l'appareil. La limite de cette méthode de blocage est la mémoire flash limitée du micrologiciel disponible pour stocker le DBX. En raison de cette limitation et du grand nombre de gestionnaires de démarrage qui doivent être bloqués (gestionnaires de démarrage Windows des 10 dernières années et plus), il n'est pas possible de s'appuyer entièrement sur le DBX pour ce problème.
Pour ce problème, nous avons choisi une méthode hybride pour bloquer les gestionnaires de démarrage vulnérables. Seuls quelques gestionnaires de démarrage publiés dans des versions antérieures de Windows seront ajoutés au DBX. Pour Windows 10 et les versions ultérieures, une politique de contrôle des applications Windows Defender (WDAC) sera utilisée pour bloquer les gestionnaires de démarrage Windows vulnérables. Lorsque la stratégie est appliquée à un système Windows, le gestionnaire de démarrage« verrouille » la stratégie sur le système en ajoutant une variable au microprogramme UEFI. Les gestionnaires de démarrage Windows respecteront la stratégie et le verrouillage UEFI. Si le verrou UEFI est en place et que la stratégie a été supprimée, le gestionnaire de démarrage de Windows ne démarre pas. Si la stratégie est en place, le gestionnaire de démarrage ne démarrera pas s'il a été bloqué par la stratégie.
Conseils pour bloquer les gestionnaires de démarrage Windows vulnérables
REMARQUE Les utilisateurs devraient avoir la possibilité d'appliquer la variable afin de pouvoir contrôler le moment où ils sont protégés.
L'activation du verrouillage UEFI entraînera l'arrêt du démarrage des supports de démarrage Windows existants jusqu'à ce qu'ils soient mis à jour avec les mises à jour Windows publiées à partir du 9 mai 2023. Des conseils pour la mise à jour des supports sont disponibles dans KB5025885 : Comment gérer les révocations du gestionnaire d'amorçage Windows pour les modifications de l'amorçage sécurisé associées à CVE-2023-24932.
-
Pour les systèmes compatibles avec Secure Boot qui ne démarrent que des systèmes d'exploitation non Windows
Pour les systèmes qui ne démarrent que des systèmes d'exploitation non Windows et qui ne démarreront jamais Windows, ces mesures d'atténuation peuvent être appliquées au système immédiatement. -
Pour les systèmes à double démarrage Windows et un autre système d'exploitation
d’exploitation Pour les systèmes qui démarrent Windows, les mesures d'atténuation non Windows ne doivent être appliquées qu'après que le système d'exploitation Windows a été mis à jour avec les mises à jour Windows publiées à partir du 9 mai 2023.
Créer le verrou UEFI
Le verrou UEFI comporte deux variables qui sont nécessaires pour empêcher les attaques par retour en arrière dans le gestionnaire de démarrage de Windows. Ces variables sont les suivantes :
-
Attributs SiPolicy de la référence SKU
Cette stratégie a les attributs suivants :
-
ID du type de stratégie :
{976d12c8-cb9f-4730-be52-54600843238e}
-
Nom de fichier spécifique de «SkuSiPolicy.p7b»
-
Emplacement physique spécifique de EFI\Microsoft\Boot
Comme toutes les stratégies WDAC signées, une stratégie UGS signée est protégée par deux variables UEFI :
-
SKU_POLICY_VERSION_NAME : « SkuSiPolicyVersion »
-
SKU_POLICY_UPDATE_POLICY_SIGNERS_NAME : « SkuSiPolicyUpdateSigners »
-
-
Variables SiPolicy de l'UGS
Cette stratégie utilise deux variables UEFI stockées dans l'espace de noms EFI/Vendeur
GUID(SECUREBOOT_EFI_NAMESPACE_GUID):#define SECUREBOOT_EFI_NAMESPACE_GUID \N
{0x77fa9abd, 0x0359, 0x4d32, \
{0xbd, 0x60, 0x28, 0xf4, 0xe7, 0x8f, 0x78, 0x4b}};
-
SkuSiPolicyVersion
-
est de type ULONGLONG/UInt64 à l'exécution
-
est défini par <VersionEx>2.0.0.2</VersionEx> dans la stratégie XML sous la forme de (MAJOR.MINOR.REVISION.BUILDNUMBER)
-
Il est traduit en ULONGLONG par
((major##ULL << 48) + (minor##ULL << 32) + (revision#ULL << 16) + buildnumber)
Chaque numéro de version comporte 16 bits, soit un total de 64 bits.
-
La version de la stratégie la plus récente doit être égale ou supérieure à la version stockée dans la variable UEFI au moment de l'exécution.
-
Description : Définit la version de la stratégie de démarrage de l'intégrité du code.
-
Attributs :
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Espace de noms Guid :
77fa9abd-0359-4d32-bd60-28f4e78f784b
-
Type de données :
uint8_t[8]
-
Données :
uint8_t SkuSiPolicyVersion[8] = { 0x2,0x0,0x0,0x0,0x0,0x0,0x2,0x0 };
-
-
SkuSiPolicyUpdateSigners
-
Il doit s'agir du signataire Windows.
-
Description : Informations sur le signataire de la stratégie.
-
Attributs :
(EFI_VARIABLE_NON_VOLATILE | EFI_VARIABLE_BOOTSERVICE_ACCESS)
-
Espace de noms Guid :
77fa9abd-0359-4d32-bd60-28f4e78f784bd
-
Type de données :
uint8_t[131]
-
Données :
uint8_tSkuSiPolicyUpdateSigners[131] =
{ 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0x0b, 0x00, 0x00, 0x00, 0xd0, 0x91, 0x73, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x54, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x5c, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00,
0x00, 0x00, 0x00, 0x00, 0x64, 0xa6, 0x78, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x0a, 0x2b, 0x06, 0x01,
0x04, 0x01, 0x82, 0x37, 0x0a, 0x03, 0x06, 0x00,
0x00, 0x00, 0x00};
-
-
Appliquer le DBX
Nous avons publié le fichier DbxUpdate.bin pour ce problème sur UEFI.org. Ces hachages comprennent tous les gestionnaires de démarrage Windows révoqués publiés entre Windows 8 et la version initiale de Windows 10 qui ne respectent pas la politique d'intégrité du code.
Il est extrêmement important de les appliquer avec précaution, car ils risquent de casser un système à double amorçage qui utilise plusieurs systèmes d'exploitation et l'un de ces gestionnaires de démarrage. À court terme, nous recommandons que pour tout système, ces hachages soient appliqués de manière facultative.
